安全隔离与信息交换系统产品安装调试指导手册V

可修改欢迎下载精品Word可修改欢迎下载精品Word可修改欢迎下载精品Word网神平安产品安装调试指导手册网神SecSIS3600平安隔离与信息交换系统目录1 网神SecSIS3600平安隔离与信息交换系统产品常用功能描述和使用说明 42 网神SecSIS3600平安隔离与信息交换系统产品常见应用场景说明 52.1 数据库平安同步解决方案 52.2 平安邮件收发解决方案 62.3 平安文件交换解决方案 72.4 平安FTP访问解决方案 82.5 平安浏览解决方案 83 准备工作 93.1 了解实际用户网络环境或主机环境 93.1.1 网络环境 93.1.2 主机环境 93.2 了解实际用户应用及平安需求 103.2.1 业务模式 103.2.2 平安需求 103.3 开箱、加电 113.3.1 设备开箱 113.3.2 设备加电 113.3.3 平安考前须知 123.4 管理网神SecSIS3600平安隔离与信息交换系统 123.4.1 WEB界面方式 123.4.2 命令行方式 143.4.3 其它方式 163.5 如何申请许可证和激活网神SecSIS3600平安隔离与信息交换系统产品功能模块 173.5.1 申请License 173.5.2 导入License 174 初级“假设法〞手把手教您如何快速安装部署网闸产品 184.1 网闸网络配置 185 中级“假设法〞手把手教您如何快速调试网闸产品的根本功能 205.1 平安浏览 205.1.1 客户需求 205.1.2 网络配置 205.1.3 网闸具体配置 225.2 平安FTP 275.2.1 客户需求 275.2.2 网络配置 285.2.3 网闸具体配置 305.3 FTP访问 375.3.1 客户需求 385.3.2 网络配置 385.3.3 网闸具体配置 405.4 数据库访问 435.4.1 客户需求 435.4.2 网络配置 435.4.3 网闸具体配置 455.5 邮件访问 505.5.1 客户需求 515.5.2 网络配置 515.5.3 网闸具体配置 525.6 定制模块 555.6.1 客户需求 555.6.2 网络配置 565.6.3 网闸具体配置 586 常见问题答疑 63

网神SecSIS3600平安隔离与信息交换系统产品常用功能描述和使用说明网御神州SecSIS3600平安隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：网络配置：完成设备网络参数的根本配置以及高可用性〔双机负载〕的配置管理员配置：管理员源地址的访问控制，权限分配，新增管理员及参数设置。文件交换：实现将网闸一侧的文件平安可控的摆渡到另外一侧数据库同步：实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中平安浏览：在内外网隔离环境下保证内网用户平安浏览外网资源。平安FTP：实现对FTP效劳器的平安防护FTP访问：在内外网隔离环境下实现平安的FTP访问。数据库访问：在内外网隔离环境下实现平安的数据库访问。邮件访问：在内外网隔离环境下实现平安的邮件访问。视频模块：在内外网隔离环境下实现平安的视频效劳器的访问。定制模块：在内外网隔离环境下实现对所有的基于TCP/UDP效劳的访问。工具箱：系统许可证、配置管理、系统时间、修改口令，本等信息的管理。网神SecSIS3600平安隔离与信息交换系统产品常见应用场景说明网神SecSIS3600平安隔离与信息交换系统适合部署在需要在不同平安等级的网络间实现信息共享的环境，可应用在不同的涉密网络之间；同一涉密网络的不同平安域之间；与互联网物理隔离的网络和秘密级涉密网络之间；未与涉密网络连接的网络和互联网络之间，通过网闸的平安控制，在保证信息平安的前提下更好地促进各个业务系统的互联互通、资源共享。数据库平安同步解决方案某政府部门开展电子政务，允许公众通过互联网提交效劳申请并查询结果。如果允许访问者通过Web效劳器直接向核心数据库效劳器发起数据访问请求，那么黑客可能穿透防火墙的保护直接侵入后台数据库系统，严重威胁到业务的正常开展。如上图所示，采用网神SecSIS3600平安隔离与信息交换系统，在核心数据库效劳器和外部不可信网络间实现平安隔离，那么来自互联网的用户只能通过Web效劳器访问到前置数据库效劳器。根据平安策略定时将前置数据库和核心数据库的内容进行同步，既可满足对外效劳的要求又提供了平安保障。这种方式强化了应用层的平安控制，可有效防止TCP/IP数据包穿越网络到达核心数据库效劳器，大大增强了系统的平安性，为电子政务的有效开展提供了可靠的保证。网神SecSIS3600平安隔离与信息交换系统提供多种数据库同步方式，可定制同步周期及方向，支持Oracle、Sybase、SQLServer、MySQL、DB2等多种主流数据库。系统支持基于触发器和快照两种方式的增量数据复制，可实现异类数据库间的数据同步。系统提供C/C++编程接口，可以方便的与其它系统的集成。平安邮件收发解决方案某机构强制要求内网禁止与互联网相连，但根据业务需要必须通过电子邮件与外界进行信息交流。如采用人工方式，即由专人负责在公众信息网接收电子邮件，再通过移动存储介质复制到内部网进行处理，那么信息不能得到及时处理，严重影响工作效率；假设采用内外网邮件效劳器转发的方式，平安又得不到保证。为解决这一问题，在内外网间部署网神SecSIS3600平安隔离与信息交换系统。平安隔离与信息交换系统可以保证可信内网与Internet平安隔离，内外网邮件效劳器间不存在链路层连接，没有数据包的交换，因此无法通过邮件系统对内部办公网发起攻击。系统可以为每个用户制定各自的邮件交换策略，对邮件内容、附件类型及垃圾邮件、带病毒邮件等进行过滤，从而使内网用户可以在内网平安地收发邮件，保证平安的邮件处理。平安文件交换解决方案网神SecSIS3600平安隔离与信息交换系统，由平安管理员制定相应的信息交换策略，在网络平安隔离的前提下定时进行文件交换。系统还支持交换方向、文件类型的指定，可对被交换文件进行内容检查、查病毒等处理，只允许或不允许包含相应内容的文件通过网闸传递。网神SecSIS3600平安隔离与信息交换系统可对数字签名进行校验，以起到身份认证、防抵赖的作用。平安FTP访问解决方案网神SecSIS3600平安隔离与信息交换系统，由平安管理员制定相应的FTP访问策略，在网络平安隔离的前提下进行FTP访问。系统还支持访问方式、文件类型的指定，可对FTP命令、用户名进行策略配置，到达FTP用户访问控制和过滤。平安浏览解决方案为了内网用户能够平安的访问互联网资源，网神SecSIS3600平安隔离与信息交换系统，在保障内网平安的前提下提供平安浏览功能。平安浏览功能可进行多种策略设置，以到达URL访问控制、网页文件类型限制、上网时段控制等平安功能。内网用户可通过网闸对互联网资源正常、平安的进行访问。准备工作网闸的部署与用户的业务系统息息相关，在网闸工程实施时应特别注意，切勿造成用户业务无法正常使用的状况出现。所以，在网闸上线实施前，应对当前用户的网络环境、业务模式、平安需求等情况进行详细的了解，充分做好产品上线准备，确保网闸上线后高效、稳定，与用户业务平安结合。了解实际用户网络环境或主机环境网络环境充分的网络环境了解，有助于我们明确网闸的部署位置，IP地址的规划等，对与当前用户整个网络的拓扑结构要做到心中有图和手中有图，网络拓扑网络拓扑图可以请用户网络工程师协助提供。拓扑图中应包含网闸所处网络中的关键性设备、设备连接方式等信息。部署位置根据用户提供拓扑，分清平安域界限，明确网闸部署位置。IP规划明确网闸所需的IP地址、掩码、网关地址，以及各关键设备的地址信息。主机环境明确用户现场网络拓扑后，还需要对用户的主机系统，也就是各类与网闸应用相关的效劳器进行了解，以确保采用正确的网闸模块与之对应。效劳器系统平台信息了解用户效劳器使用何种类型操作系统以及操作系统本等系统平台信息。了解各效劳器网络配置信息，如效劳器IP地址、效劳器连接位置等。数据库信息对具有数据库应用需求的用户，了解其使用的数据库类型、本等数据库相关信息。软件信息了解用户主机系统所使用的与网闸业务相关的软件信息。了解实际用户应用及平安需求业务模式了解业务模式，可以针对当前用户的各类业务应用选择最匹配的网闸功能模块，以确保网闸功能与用户应用的无缝结合。应用相关信息了解业务所采用的协议类型，业务端口开放情况等业务相关信息。业务流程分析通过对业务流程的分析，可以确定哪些功能是必须要实现，从而使得我们可以以更适宜的方式来实现所需要的功能效劳。业务软件模式针对业务应用所使用的软件模式，B/S架构还是C/S架构，可以更好的选择功能模块采用的实现方式。平安需求了解用户平安需求，细化网闸平安功能，确保用户信息及数据的平安。访问用户限制针对不同的访问用户进行业务应用限制，功能使用限制；对于不同的管理员赋予不同的权限。访问客户端限制针对IP段、MAC地址的访问限制；应用层过滤

针对业务应用进行的策略限制，黑白名单策略、命令限制、文件类型限制等。开箱、加电设备开箱设备开箱请按装箱清单进行清点，并对设备外观进行检查，假设有异常请认真详细地做好记录。翻开网闸包装后，确认包装箱内是否包含以下各物品以及状态是否良好：网神SecSIS3600网闸配件盒：电源线×串口线×网线×2软盘/CDROM光盘〔包括网闸相关信息文件和手册〕如果发现任何物品丧失或出现损坏，那么立即联系网御神州公司。如果需要运输或将网神SecSIS3600平安隔离与信息交换系统保存起来以待后用，那么切勿丢掉包装材料或装运纸箱。设备加电开箱检验确认设备外观无异常后，可对设备进行加电检验。加电后请注意观察网闸前面板指示灯，可初步判断网闸是否正常。内、网外面板各有3个指示灯。按顺序分别为：电源指示灯：显示网闸供电是否正常。状态指示灯：显示网闸存储读写工作情况。交换指示灯：显示网闸交换卡工作情况。网闸加电后，正常状态下，电源指示灯常量；状态指示灯只在存储读写情况下闪烁，无工作状态灭灯；交换指示灯在无工作情况下为间隔闪亮，间隔时间约~2秒，交换卡工作情况下为快速闪烁状态。注意：网闸配备冗余电源，尽量保证双电源供电。如果使用单一供电，无供电电源会产生报警。〔可按电源模块上红色按钮取消报警〕平安本卷须知本节列出的平安使用本卷须知，请在使用网御神州SecSIS3600平安隔离与信息交换系统过程中严格执行。这将有助于更好地使用和维护平安隔离与信息交换系统。平安隔离与信息交换系统应用环境为温度0℃~35℃和湿度40%~80%；存储环境为温度0℃~70采用交流220V电源。必须使用三芯带接地保护的电源插头和插座。良好的接地是您的平安隔离与信息交换系统正常工作的重要保证。对于平安隔离与信息交换系统来说，如果缺少接地保护线，在机箱的金属背板上可能会出现感应电压。虽然不会对人体造成伤害，但在接触时，可能会产生麻、痛等轻微触电的感觉。另外，如果您擅自更换标准电源线，可能会带来严重后果。管理网神SecSIS3600平安隔离与信息交换系统网神SecSIS3600平安隔离与信息交换系统提供两种管理方式，Web管理和串口管理，下面介绍登陆界面的操作和管理的菜单功能。网神SecSIS3600平安隔离与信息交换系统使用了平安套接层〔SSL〕协议，在网神平安隔离与信息交换系统连接期间，所有的交换信息均被SSL加密，默认的访问端口为443。WEB界面方式网闸分内网管理和外网管理内网默认管理地址为：s://0.0.0.外网默认管理地址为：s://默认管理用户名：admin默认密码：admin默认日志用户名：auditor默认密码：auditor用户管理机地址设置与管理地址同一网段〔0.0.0.*/24〕，用交叉线与网闸的内网管理口和外网管理口相连。管理机网卡设置(/)翻开IE浏览器，输入s://0.0.0.(内网为例)配置管理员：用户名admin，密码admin日志管理员：用户名auditor，密码auditor进入管理界面菜单区：系统的所有功能菜单，不同的功能对应不同的菜单配置区：配置系统相关参数的区域显示区：显示系统在内网或外网管理页面命令行方式基于串口连接，提供命令行方式的根本配置管理和灾难恢复功能，提供了管理的平安、方便与灵活性。可以提供恢复出厂设置、关闭远程管理等根本管理功能。配置终端参数：登陆用户名为hawk，口令hawk。命令表如下：命令名称描述？|help帮助功能，列表所有串口命令Clear清屏Serviceweb<open|close>开启和关闭web管理界面Servicessh<open|close>开启和关闭ssh管理界面Configdefault恢复出厂配置Passwd修改串口口令Netcap<interface>[ip][port]抓包工具Ping<host>Ping测试Detect检测对方主机Showcpu显示cpu信息Showmemory显示内存信息Showdisk显示存储器信息Showproc显示当前进程Showinterface显示端口信息Showlink显示连接信息Showgw显示路由信息Showarp显示arp表Showver显示系统本Quit|exit退出其它方式除了上述两种管理方式外，网神SecSIS3600平安隔离与信息交换系统暂不提供其他管理方式。如何申请许可证和激活网神SecSIS3600平安隔离与信息交换系统产品功能模块申请License网神SecSIS3600平安隔离与信息交换系统在初次使用时，产品功能模块需要激活方可使用。激活前请记录产品硬件序列号并填写?license申请表?。★注意：此处请务必分清内外网硬件序列号，防止混淆。License申请：请将上述信息邮件至网御神州客户效劳部并通知。联系人：翟玉晶：34068930邮件地址：license@legendsec导入License点击上传许可证，浏览许可证文件，点击上传。许可证文件必须有厂商正式签发。签发许可证请参照4.3获取硬件序列号，并发送给厂商进行申请。注意：.内外网License为同一文件。2.导入License时，如果使用的浏览器为IE8，请将平安级别设置降低，否那么会出现找不到上传文件现象。初级“假设法〞手把手教您如何快速安装部署网闸产品网闸网络配置在了解完用户网络结构并确认网闸部署位置后，就可以对网闸进行根本的网络设置，我们以以下图的网络环境为根底进行网闸的网络根本设置。如上图所示，网闸分别与/24、/24网段相连接，内、外网口IP分别为/24和/24。确认上述IP信息无误后，即可在网闸上进行操作配置。以内网为例。登录网闸WEB管理界面，点击网络配置： 网卡配置，选择网络设备属性，此处选择net，确定。 网络地址，选择网口，ip地址栏填写网闸内网口实际地址。此处填写，子网掩码：。点击确定保存。 外网IP设置与内网设置方法一致。 实际应用中，仅仅配置完IP并不能保证网闸的网路连通，还需要根据网络的实际状况添加路由设置。本例中需要分别为网闸内、外网添加路由。配置如以下图所示： 外网路由设置与内网设置方法一致至此，本应用中的网闸网络配置已经完成，可以通过网闸WEB管理界面中工具箱下的调试工具测试网闸在网络中的连通性。中级“假设法〞手把手教您如何快速调试网闸产品的根本功能平安浏览说明： 网闸的内外网管理端口地址分别默认为：内网：0.0.0.，外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。 2管理主机与网闸的内外网管理端口相连接，分别以s://0.0.0.和s://访问，用户名和密码为：admin。客户需求需求一：内网主机能够通过网闸访问互联网，采用代理效劳器模式，即需要在客户端主机上添加代理效劳，不需要添加网关地址和DNS地址。需求二：内网主机能够通过网闸访问互联网，采用透明模式，即需在客户端主机添加网关地址和DNS地址网络配置内网网络端口配置修改地址为：0内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：92.68..00，如此为公网地址请直接指定。外网网关配置此处网关为：92.68..254，如此为公网地址请直接指定。外网管理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一配置内网主机能够通过网闸访问互联网，采用代理效劳器模式，即需要在客户端主机上添加代理效劳，不需要添加网关地址和DNS地址。内网模块配置平安浏览→客户端→根本设置，进行平安浏览效劳设置。选择代理方式，选择侦听地址：0，端口8080，其他选项默认。平安浏览→根本设置→启动设置点击启动效劳按钮外网模块配置平安浏览→效劳端→配置DNS，添加DNS地址202.06.0.20〔当地的DNS效劳器地址〕平安浏览→根本设置→启动设置，选择启动效劳按钮。内网客户端主机配置在用户的主机IE属性中选择连接/局域网连接，添加代理效劳器地址〔0,端口8080〕需求二配置内网主机能够通过网闸访问互联网，采用透明模式，即需在客户端主机添加网关地址和DNS地址内网模块配置平安浏览→客户端→根本配置，选择透明方式，本地地址0，效劳端口80。

平安浏览→客户端→启动配置，重启效劳内网允许DNS请求通过定制模块→UDP访问→UDP客户端→添加任务，地址0端口53任务号〔此任务号可以任意，但一定要与外网模块的相同〕外网模块配置网络配置→配置DNS：202.06.0.20平安浏览〞→根本设置→启动设置→确定，启动效劳外网允许DNS请求通过定制模块→UDP访问→UDP效劳端，地址：202.06.0.20，端口：53，任务号：〔此任务号可以任意，但一定要与内网模块的相同〕内网客户端主机配置在本地PC机的“TCP/IP〞属性设置如下：

默认网关：0，DNS效劳器：0浏览器的设置〔把代理去掉〕平安FTP说明： 网闸的内外网管理端口地址分别默认为：内网：0.0.0.，外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。 2管理主机与网闸的内外网管理端口相连接，分别以s://0.0.0.和s://访问，用户名和密码为：admin。网闸FTP工作原理：FTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号，就可以通过代理方式，透明方式，混合模式访问内网或外网的FTP效劳器。可以使用LeapFTP、FlashFXP等FTP软件和命令行方式，顺利进行访问和数据操作。在百兆网络的测试环境中，FTP的平均传输速率可达9.2Mbps。对于FTP效劳端所在网络只是FTP代理效劳器的情况，提供了很好的解决方案，仅需添加代理FTP效劳器的IP地址和端口即可。客户需求内网做为客户端，外网做为效劳器端，实现内网用户可通过网闸访问到外网的FTP效劳器，并且内网用户对FTP效劳器的上传、下载等操作正常运行。对访问的效劳器进行目的地址控制。对访问ftp的用户进行源地址控制。隐藏真实效劳器地址。、在网闸内网配置FTP代理监听并启用FTP客户端效劳2、在网闸外网启用FTP效劳3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP效劳器的正常访问及操作网络配置内网网络端口配置修改地址为：0内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：0外网网关配置此处网关为：54外网管理端口地址如与网络接口不冲突，可以为默认。网闸具体配置代理模式配置在网闸内网配置FTP代理监听并启用FTP客户端效劳。通过允许效劳器控制用户访问的目的地址通过访问控制对访问ftp的用户源地址进行控制通过重定向隐藏真实效劳器地址在网闸外网启用FTP效劳内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP效劳器的正常访问及操作。内网模块配置平安ftp→客户端→根本配置，运行方式：代理模式，本地地址：0，本地端口：2，其它参数项默认不修改即可。平安FTP→客户端→启动设置，点击启动效劳按钮，启用FTP客户端模块。客户要求只允许通过网闸访问指定的FTP效劳器，即50和8两台，其他ftp效劳器不允许访问。通过配置允许的效劳器可以进行目的地址控制。点击平安ftp—客户端—允许的效劳器，添加允许用户访问的效劳器地址即可。注意：默认不填，为全部都允许；如果添加了允许的效劳器，未添加的就都不允许；在添加允许的效劳器时，首先应该将网闸FTP访问的监听地址允许访问，否那么就全部都无法访问了。源地址访问控制通过配置客户端的访问控制规那么，可以对使用平安ftp访问的用户的源地址进行控制，例如只允许这个网段的用户使用该模块。配置如下：点击平安FTP—客户端—访问控制；选择默认禁止，除以下配置策略外的其他任何地址都是禁止访问的；添加允许访问的客户端地址段，格式如下；客户端端口为任意；动作为允许；重定向通过配置重定向，可以隐藏用户的实际效劳器地址。比方用户要求访问ftp效劳器的终端不知道实际效劳器的地址，只告诉他们一个虚拟的访问地址，50虚拟成为0，8虚拟成为00；配置如下：点击平安FTP—客户端—重定向；添加虚拟效劳器地址和真实效劳器地址；用户通过网闸访问时访问方式不变，但是只需访问虚拟地址就可以重定向到真实的效劳器地址；外网模块配置平安FTP→根本设置→启动设置，点击启动效劳按钮，启用FTP效劳端模块内网客户端主机访问FTP效劳器设置命令行方式一内网用户主机〔6),通过命令行方式访问FTP.HYPERLINKftp02.用户名输入：root@50命令行方式二内网用户主机〔6),通过命令行方式访问FTP数据库.HYPERLINKftp02.用户名输入：a@8:22使用FTP客户端软件方式内网用户主机〔6),FTP客户端软件访问FTP效劳器.添加代理效劳器2.运行快速连接效劳器：50代理效劳器：平安ftp代理模式〔上一步添加的代理效劳器名称〕点击“连接〞，连接成功。3．在使用FlashFXP软件时，可以不设置代理效劳器。配置方式如以下图。透明模式配置、在网闸内网配置FTP透明模式并启用FTP客户端效劳2、在网闸外网启用FTP效劳3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP效劳器的正常访问及操作，直接访问真实效劳器地址即可。不需要先访问代理效劳器，或者设置代理效劳器。4、内网客户端机器的网关指向网闸，或者路由可达。透明模式下，外网效劳器地址不能与网闸内网地址在同一网段。 根本配置中的运行方式选择“透明方式〞。其余配置方式与代理模式一致。客户端机器的网关指向网闸〔0〕，直接访问外网效劳器。如以下图所示混合模式配置、在网闸内网配置FTP混合模式并启用FTP客户端效劳2、在网闸外网启用FTP效劳3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP效劳器的正常访问及操作。4、用户可采用代理模式访问外网ftp效劳器，或者使用透明模式访问。5、根本配置中运行方式中选择“混合模式〞，使用方式见4.，4.2FTP访问说明： 网闸的内外网管理端口地址分别默认为：内网：0.0.0.，外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。 2管理主机与网闸的内外网管理端口相连接，分别以s://0.0.0.和s://访问，用户名和密码为：admin。网闸FTP工作原理：FTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号，就可以通过代理方式，透明方式，混合模式访问内网或外网的FTP效劳器。可以使用LeapFTP、FlashFXP等FTP软件和命令行方式，顺利进行访问和数据操作。在百兆网络的测试环境中，FTP的平均传输速率可达9.2Mbps。对于FTP效劳端所在网络只是FTP代理效劳器的情况，提供了很好的解决方案，仅需添加代理FTP效劳器的IP地址和端口即可。客户需求内网做为客户端，外网做为效劳器端，实现内网用户可通过网闸访问到外网的FTP效劳器，并且内网用户对FTP效劳器的上传、下载等操作正常运行。有限数量的FTP效劳器，通过独立任务实现一对一ftp访问。大量的FTP效劳器，通过一个任务实现对多个FTP效劳器的透明访问。对访问ftp的用户进行源地址控制。网络配置内网网络端口配置修改地址为：0内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：0，如此为公网地址请直接指定。外网网关配置此处网关为：54，如此为公网地址请直接指定。外网管理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一内网模块配置内网为客户端一侧，主要配置是模块的客户端配置和访问控制。点击FTP访问—>客户端；填写任务号，要求为99范围内数字，内外网客户端和效劳端任务号要求一一对应；配置监听地址，选择网络口地址为监听地址，该地址为用户访问的地址；监听端口，为用户访问的端口，该端口可以自定义；数据通道，选那么与监听地址相同的地址；配置工作时间段，默认为全天运行，可以自定义该任务运行时间段；配置运行标记，可以指定该任务是否运行；源地址访问控制通过配置客户端的访问控制规那么，可以对使用ftp访问的用户的源地址进行控制，例如只允许这个网段的用户使用该模块，配置如下：点击“FTP访问—客户端—访问控制〞；选择要进行控制的任务；选择默认禁止，除以下配置策略外的其他任何地址都是禁止访问的；添加允许访问的客户端地址段，格式如下；客户端端口为任意；动作为允许；外网模块配置外网为效劳器一侧，主要配置是模块的效劳器端配置。点击FTP访问—>效劳端；填写任务号，要求为99范围内数字，内外网客户端和效劳端任务号要求一一对应；配置效劳器地址，填写效劳器地址，该地址为真实效劳器的地址；效劳器端口，效劳器端口，该端口为真是效劳端口；地址绑定，配置数据通过网闸后的源地址，默认使用网闸网络口地址；需求二：透明模式配置、在网闸内网配置FTP客户端，并配置访问控制2、在网闸外网配置FTP效劳端3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP效劳器的正常访问及操作，直接访问真实效劳器地址即可。不需要先访问网闸本地监听地址，或者设置代理效劳器。4、内网客户端机器的网关指向网闸，或者路由可达。透明模式下，外网效劳器地址不能与网闸内网地址在同一网段。配置步骤与非透明方式相同，配置客户端任务和效劳端任务，客户端任务只需要配置一条即可；效劳端无需指定效劳器地址，可以配置any通过配置访问控制，实现地址透明访问；点击访问控制，选择要配置策略的任务；默认界面如下：修改目的地址为需要用户透明访问的地址段，无明确地址段可以填any；点击确定提交；用户访问另一侧FTP效劳器时，可以直接访问真实效劳器地址即可。数据库访问说明： 网闸的内外网管理端口地址分别默认为：内网：0.0.0.，外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。 2管理主机与网闸的内外网管理端口相连接，分别以s://0.0.0.和s://访问，用户名和密码为：admin。客户需求内网做为客户端，外网做为效劳器端，内网用户使用数据库客户端软件通过网闸开启的数据库访问效劳登录到外网的数据库效劳器需求一：内网主机能够通过网闸访问外网的Oracle数据库效劳器需求二：内网主机能够通过网闸访问外网的SQLServer数据库效劳器需求三：内网主机能够通过网闸访问外网的多台SQLServer数据库效劳器网络配置内网网络端口配置修改地址为：0内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：92.68..00，如此为公网地址请直接指定。外网网关配置此处网关为：92.68..254，如此为公网地址请直接指定。外网管理端口地址如与网络接口不冲突，可以为默认。网闸具体配置需求一配置、在网闸内网配置及启用Oracle数据库客户端效劳2、在网闸外网配置及启用Oracle数据库效劳端3、内网用户可访问外Oracle网数据库内网模块配置添加Oracle数据库客户端任务数据库访问→数据库客户端→添加任务数据库类型：oracle本地地址：0数据通道IP：0本地端口：52任务号：注意：此任务号可以任意，但一定要与外网模块的相同；本地IP是与要连接的数据库建立联结的，而数据通道IP是为数据库专门做的一个数据传输的通道，且只用于ORACLE数据库。外网模块配置添加Oracle数据库效劳端任务数据库访问→数据库效劳端→添加任务效劳器地址：92.68..47本地端口：52任务号：注：此任务号可以任意，但一定要与内网模块的相同内网客户端主机配置内网主机修改tns配置文件tnsname.ora修改HOST参数为网闸内网本地监听地址92.68..00内网用户成功登录外网数据库通过数据库客户端软件成功访问外网数据库需求二配置、在网闸内网配置及启用SQLServer数据库客户端效劳2、在网闸外网配置及启用SQLServer数据库效劳端3、在网闸内外网配置表中添加新的用户4、内网用户可访问外SQLServer网数据库内网模块配置添加SQLServer数据库客户端任务数据库访问→数据库客户端→添加任务数据库类型：SQLServer本地地址：0数据通道IP：0本地端口：433任务号：2注：此任务号可以任意，但一定要与外网模块的相同外网模块配置添加SQLServer数据库效劳端任务数据库访问→数据库效劳端→添加任务效劳器地址：92.68..47本地端口：433任务号：2注：此任务号可以任意，但一定要与内网模块的相同内网客户端主机配置内网主机数据库客户端配置在内网主机上启用SQL查询分析器SQLServer处输入0

登录名：sa(网闸内网上新建用户〕

内网主机〔6〕可访问到外网数据库〔92.68..47〕内网主机成功登录外网SQLServer数据库内网主机〔6〕成功登录到外网数据库〔92.68..47〕上可进行对数据库相关操作

注：在界面上显示的SQLServer数据库IP为网闸内网端口地址〔数据库代理0〕需求三配置、在网闸内网配置及启用SQLServer数据库客户端效劳2、在网闸外网配置及启用SQLServer数据库效劳端3、内网配置访问控制4、内网用户可访问外SQLServer网数据库内网模块配置添加SQLServer数据库客户端任务数据库访问→数据库客户端→添加任务数据库类型：SQLServer本地地址：0本地端口：433任务号：3注：此任务号可以任意，但一定要与外网模块的相同配置访问控制策略点击访问控制，列表当前配置的数据库访问任务点击访问配置，更改原来目的地址为any外网模块配置添加SQLServer数据库效劳端任务数据库访问→数据库效劳端→添加任务效劳器地址：any本地端口：433任务号：3注：此任务号可以任意，但一定要与内网模块的相同内网客户端主机配置内网主机数据库客户端配置在内网主机上启用SQL事件探查器，SQLServer处输入92.68..47

登录名：sa(网闸内网上新建用户〕

内网主机〔6，网关指向网闸〕可访问到外网数据库〔92.68..47〕内网主机成功登录外网SQLServer数据库内网主机〔6〕成功登录到外网数据库〔92.68..47〕上可进行对数据库相关操作。邮件访问说明： 网闸的内外网管理端口地址分别默认为：内网：0.0.0.，外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。 3管理主机与网闸的内外网管理端口相连接，分别以s://0.0.0.和s://访问，用户名和密码为：admin。客户需求内网主机使用客户端软件通过网闸访问互联网邮件效劳器。内网做为客户端，外网做为效劳器端，内网用户使用foxmail邮件客户端软件，并在客户端软件属性配置的SMTP和POP3效劳器文本框中添加网闸内网端口IP。在内外网闸添加相关任务后，内网用户可使用外网邮件效劳器进行邮件的收发。网络配置内网网络端口配置修改地址为：0内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：5，如此为公网地址请直接指定。外网网关配置此处网关为：52，如此为公网地址请直接指定。外网管理端口地址如与网络接口不冲突，可以为默认。DNS配置注：此处指定公网DNS效劳器；网闸具体配置需求配置、在网闸内网添加SMTP和POP3客户端任务2、在网闸外网添加与内网客户端对应的效劳端任务〔任务号需一致〕3、在内网主机上运行邮件客户端软件如Foxmail，并进行相关配置，实现对外网邮件效劳的访问内网模块配置添加SMTP客户端任务配置邮件访问→SMTP客户端本地地址：0本地端口：25任务号：30注：此任务号可以任意，但一定要与外网模块的相同添加POP3客户端任务配置邮件访问→POP3客户端本地地址：0本地端口：0任务号：3注：此任务号可以任意，但一定要与外网模块的相同外网模块配置添加效劳端任务配置(与内网SMTP客户端对应)邮件访问→smtp效劳端效劳器地址：smtp.26效劳器端口：25任务号：30注：此任务号可以任意，但一定要与内网模块的相同邮件访问→pop3效劳端效劳器地址：pop3.26效劳器端口：0任务号：3内网客户端主机配置内网主机邮件客户端设置内网主机使用Foxmail邮件客户端软件发送邮件效劳器〔SMTP〕：0接收邮件效劳器〔POP3〕：0以下是用户wangsj在客户端软件的根本配置注：邮件效劳器地址要添加网闸内网端口地址0内网主机使用外网邮件效劳器接发邮件测试目的：内网主机用户wangsj通过外网邮件效劳器〔smtp.26〕，发送邮件给内网主机用户wangsj测试结果：用户wangsj邮件发送成功，用户wangsj邮件接收成功定制模块说明： 网闸的内外网管理端口地址分别默认为：内网：0.0.0.，外网：，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。 2管理主机与网闸的内外网管理端口相连接，分别以s://0.0.0.和s://访问，用户名和密码为：admin。 3网闸配置及本文中的一段端口描述方式为“起始端口：结束端口〞，中间冒号〔英文半角〕隔开。客户需求TCP访问需求一：WEB效劳器浏览外网主机通过IE浏览器，://92.68..00:8000，访问到内网的00效劳器基于8000端口的WEB效劳。需求二：端口透明〔网闸通过一条任务开放一段端口〕外网客户端应用程序通过访问92.68..00的40000:50000的端口，实际访问到内网的9效劳器基于40000:50000的应用效劳。 端口透明方式主要用于内网某应用效劳器随机生成效劳端口或者效劳端口较多的情况。需求三：地址透明〔客户端程序直接访问效劳器的地址及端口〕〕外网主机通过IE浏览器，输入://00:8000直接访问内网的00的web效劳。访问内网其它效劳器的web效劳。 地址透明方式主要用于内网提供相同效劳的效劳器比较多的情况，拓扑中的大多数效劳器〔9〕都提供基于8000端口的web效劳。需求四：地址透明+端口透明〔客户端程序直接访问效劳器的地址及一段端口〕 外网客户端应用程序直接访问内网的〔9〕效劳器基于40000:50000的应用效劳。 此种方式主要用户地址透明中，应用效劳器提供的应用效劳随机生成效劳端口或者效劳端较多的情况。网络配置内网网络端口配置修改地址为：0内网管理端口地址如与网络接口不冲突，可以为默认。外网网络端口配置修改地址为：92